Artículo
24 agosto 2023

Consejos para evitar la fatiga de MFA en su empresa

Si se aplica correctamente, la MFA puede incrementar la ciberseguridad sin añadir complejidad o reducir la productividad del usuario final.

La mejor forma de proteger una empresa y sus datos es implementando la autenticación multifactor (MFA). Pero también es cierto que cuando hablamos de gestión de identidades, tanto usuarios como administradores, exigen un equilibrio entre eficiencia, comodidad y seguridad, todo a la vez. Es un reto complicado, pero puede alcanzarse.

Esto se debe principalmente a que los usuarios pueden verlo como una barrera que crea fricciones durante su uso y, por ello, ralentiza la productividad. Muchas veces cuando existe la elección entre rapidez y seguridad, las personas prefieren la rapidez. Pero, por fortuna, si se aplica correctamente, la MFA puede incrementar la ciberseguridad sin añadir complejidad o reducir la productividad del usuario final.

Para elegir la mejor solución MFA, se deben evaluar las necesidades de la organización, teniendo en cuenta el tipo de datos que deben protegerse, así como la complejidad de los requisitos de seguridad. Es importante, ya que los usuarios pueden cansarse de esta tecnología e intentar evadirla. La elección de la solución correcta puede ser la diferencia para una organización, pero con los siguientes consejos es posible evitar que los usuarios finales se desgasten y utilicen la herramienta de la forma correcta:

  1. Eduque a los usuarios sobre MFA: formar a los usuarios es de las mejores prácticas para conseguir vencer la resistencia a MFA. Si se tiene en cuenta que, en la mayoría de los casos, los humanos son considerados el eslabón más débil de la cadena, es vital educarles adecuadamente sobre la importancia de MFA.
  2. Puede combinar MFA con SSO: la autenticación SSO ofrece una gran experiencia de usuario y, al combinarlo con MFA, puede obtenerse una experiencia más fluida, reforzándose la seguridad. Esto ayuda a eliminar algunas de las barreras más importantes de la adopción de esta tecnología.
  3. Revise las configuraciones y políticas de autenticación: es necesario asegurarse de que la solución MFA está configurada de forma segura y que los usuarios son conscientes de cómo usarla correctamente. Además, puede ser beneficioso designar diferentes factores de autenticación en función de los roles, de modo que los factores de alta resistencia a los ataques puedan desplegarse para cuentas privilegiadas, mientras que otros más sencillos, pero efectivos, puedan desplegarse para roles de usuario menos privilegiados.
  4. Asegúrese de que su solución sea capaz de enfrentar los vectores de amenaza en evolución: recientemente ha surgido una nueva técnica de ingeniería social llamada “Fatiga de MFA”, que sigue ganando popularidad entre los ciberdelincuentes por su nivel de efectividad. En este ataque, un actor malicioso envía múltiples solicitudes de MFA con la esperanza de frustrar a un usuario legítimo que, al verse abrumado por la cantidad de alertas, puede desactivar la MFA pensando que está funcionando mal, o el ciberdelincuente puede hacerse pasar por un empleado de soporte y solicitar el código que necesita para entrar en la cuenta del usuario.

Una buena solución MFA debe evolucionar e incorporar nuevas funcionalidades  que se adapten a las últimas estrategias de los cibercriminales. Así, es necesario que ofrezcan una alternativa que impida las notificaciones spam que puedan indicar un ataque de phishing, permitiendo desactivar las notificaciones push para evitar un ingreso no autorizado causado por la fatiga de MFA.

El 86% de los ataques a aplicaciones web corporativas, así como casi el 40% de los ataques BEC, tienen su origen en el robo de credenciales. MFA proporciona una mayor certeza de que un usuario es quien dice ser antes de concederle acceso a una aplicación o cuenta en línea. Sin embargo, si no se toman en consideración las barreras relacionadas con la experiencia de los usuarios finales, es posible que esta solución no consiga cumplir con su propósito.

Estos consejos podrán mejorar la seguridad de las organizaciones sin afectar la experiencia del usuario y así conseguir reducir el riesgo de las contraseñas comprometidas.

¿Te ha parecido útil este contenido?

 

Juan Manuel Castaño
Watchguard Technologies
Sales Engineer Iberia South